Витік токенів GitHub наражається на небезпеку репозиторії Python

22.07.2024

Компанія JFrog, яка виявила токен особистого доступу GitHub, заявила, що секретна інформація була розкрита в публічному контейнері Docker, розміщеному на Docker Hub.

Зловмисник міг гіпотетично використовувати свої права адміністратора для організації великомасштабної атаки на ланцюжок поставок, отруївши вихідний код, пов'язаний з ядром мови програмування Python або менеджером пакетів PyPI.

JFrog зазначив, що токен аутентифікації був виявлений усередині контейнера Docker, у скомпілюваному файлі Python ("build.cpython-311.pyc"), який помилково не був очищений.

Після відповідального розкриття 28 червня 2024 року токен, випущений для облікового запису GitHub, пов'язаного з адміністратором PyPI Ee Durbin, був негайно відкликаний. Немає жодних доказів того, що секрет був використаний.

PyPI повідомила, що токен був випущений до 3 березня 2023 року, і що точна дата невідома, оскільки журнали безпеки недоступні понад 90 днів.

Інформація з'явилася після того, як Checkmarx виявила серію шкідливих пакетів на PyPI, призначених для передачі конфіденційної інформації в бот Telegram без згоди або відома жертв.

Пакети, що розглядаються – testbrojct2, proxyfullscraper, proxyalhttp і proxyfullscrapers – працюють шляхом сканування зламаної системи на наявність файлів з розширеннями .py, .php, .zip, .png, .jpg та .jpeg

Звертайтеся, будь ласка, з питаннями про покупку програмних продуктів GitHub, Inc. в компанію «ФОРТ СОФТ» за електронною поштою: [email protected] або за телефоном: +380(44)333-8268.

  • Розкажіть друзям:
Дивитися всі новини
25.10.2024
ESET посилює захист
Компания представила новый функціонал для захисту домашніх пристроїв.
Детальніше
18.10.2024
ABBYY очолила категорію платформ інтелектуального аналізу даних
Компанія відзначила повноту бачення та здатність до виконання своєї платформи аналітики процесів Timeline.
Детальніше
btn Смотреть другие новости